涉密系統(tǒng)信息安全改造項目風險管理研究.pdf

1、涉密信息系統(tǒng)信息安全建設作為國家信息安全工作的重要組成部分，近年來受到越來越多的重視。對于信息安全改造項目而言，實施過程中風險的有效管理直接關系到項目的成功與否。因此，必須對信息安全改造項目進行科學、系統(tǒng)的風險管理工作，有效地分析和識別涉密信息系統(tǒng)面臨的安全風險因素，并開展風險應對工作，是目前我國涉密信息安全領域亟需解決的課題，具有重要的理論研究價值和現(xiàn)實意義。
　　本文在分析了涉密信息系統(tǒng)信息安全改造項目的特點、以及風險管理方面

2、現(xiàn)存的主要問題的基礎上，為提高涉密信息系統(tǒng)的信息安全防護能力，重點對該類項目實施過程中最主要的兩個階段即設計階段和改造階段，進行了風險識別、風險評價、風險應對方法和流程的分析與研究。在項目設計階段，對信安項目在物理安全、運行安全、信息安全保密、安全保密管理四大方面的風險進行了識別，應用了FMEA方法對所識別的風險進行了風險評價，并形成了風險應對策略和詳細的風險應對方案；在項目改造階段，對終端安全改造、安全產(chǎn)品建設、應用系統(tǒng)安全改造、涉密

3、單機改造四部分項目改造內(nèi)容分別進行風險分析和分解，并利用模糊綜合評價法，對涉密信息系統(tǒng)建設過程中的風險因素進行了綜合評價，并依據(jù)評價結果制定了針對性的風險應對措施。通過上述研究工作，在涉密信息安全改造項目方面基本建立了一套風險識別、風險評價和管理的方法和流程。
　　最后，將上述風險管理方法在S研究所涉密信息系統(tǒng)信息安全改造項目中進行了應用，增強了風險應對的針對性和有效性，避免了盲目決策、主觀決策，提高了項目的成功率，驗證了該方法的